PT-2020-20412 · Voatz · Voatz
Publicado
2020-02-13
·
Atualizado
2020-02-27
·
CVE-2020-8989
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo Voatz 2020-01-01 para Android
Descrição
A vulnerabilidade permite que invasores remotos descubram a escolha do eleitor ao monitorar a rede, já que a quantidade de dados transmitidos durante um único voto depende dos diferentes tamanhos dos metadados entre as opções de voto disponíveis. Por exemplo, uma pequena quantidade de dados monitorados pode indicar um voto no candidato com menos metadados. Um invasor ativo do tipo “man-in-the-middle” pode explorar esse comportamento para impedir que os eleitores votem em um candidato ao qual o invasor se opõe.
Recomendações
Para o aplicativo Voatz 2020-01-01 para Android, considere implementar criptografia para proteger os metadados e impedir que invasores descubram as opções de voto ao monitorar a rede. Como solução temporária, restrinja o acesso à funcionalidade de votação até que um patch esteja disponível para resolver o problema do comprimento dos metadados.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Voatz